IKT-Risikomanagement
IKT-Risiken steuerbar, nachweisbar und reviewfähig machen.
Strukturierte Zielbilder für Risikoidentifikation, Schutzbedarf, Kontrollen, Akzeptanz, Reporting und Nachweise.
Management-Zusammenfassung
- DORA Kapitel II (Art. 5–8) verlangt ein durchgängiges IKT-Risikomanagement, das Governance, Identifikation, Bewertung, Behandlung, Monitoring und kontinuierliche Verbesserung umfasst.
- Das Leitungsorgan trägt die Gesamtverantwortung und genehmigt Strategie, Risikoappetit und Budget für IKT-Resilienz.
- Die acht Handlungsfelder auf dieser Seite bilden einen vollständigen Umsetzungsrahmen ab.
- Abstimmung mit MaRisk (AT 4.3) und ISO/IEC 27001:2022 vermeidet Doppelarbeit und schafft Prüffähigkeit.
Hub: IKT-Risikomanagement
DORA Kapitel II verlangt von Finanzinstituten ein durchgängiges IKT-Risikomanagement, das Governance, Risikoanalyse, Schutzmassnahmen, Überwachung, Berichterstattung und kontinuierliche Verbesserung umfasst. Diese Seite bündelt alle Teilaspekte des IKT-Risikomanagements als umsetzungsorientierte Zielbilder.
8
Handlungsfelder
15
Evidenzkategorien
Art. 5–8
DORA-Kapitel II
ISO 27001
Operativer Rahmen
Überblick
Gesamtübersicht über das IKT-Risikomanagement nach DORA Kapitel II.
Zum Thema →Governance
Rahmenwerk, Rollen, Strategie und Risikoappetit für IKT-Risikosteuerung.
Zum Thema →Risikoinventar
Systematische Erfassung, Klassifikation und Bewertung aller IKT-Risiken.
Zum Thema →Schutzbedarf
Schutzbedarfsfeststellung für IKT-Assets nach Vertraulichkeit, Integrität und Verfügbarkeit.
Zum Thema →Kontrollsystem
Kontrollziele, Kontrollen, Wirksamkeitsprüfung und Nachweise.
Zum Thema →Monitoring & Reporting
Frühwarnindikatoren, Management-Reporting und Eskalationsprozesse.
Zum Thema →Nachweise
Evidenzmodell und Nachweisverzeichnis für das IKT-Risikomanagement.
Zum Thema →Reifegrad
Reifegradmodell, Bewertung und kontinuierliche Verbesserung.
Zum Thema →Disclaimer
Diese Inhalte sind eigenständig formulierte Umsetzungshilfen für das IKT-Risikomanagement nach DORA Kapitel II. Sie ersetzen keine Rechtsberatung und keine verbindliche aufsichtsrechtliche Einzelfallauslegung.
Die Umsetzungshilfen basieren auf öffentlich verfügbaren Regulierungsinformationen und werden für die operative Umsetzung in Finanzinstituten strukturiert aufbereitet.